用語集に戻る

とは

ピクシードレス

?

PCI DSS に準拠する必要があるのはどのような人ですか?

PCI データセキュリティ標準 (PCI DSS) の目標は、カード会員データ (CHD) と機密認証データ (SAD) が処理、保存、または送信される場所を問わず保護することです。カード所有者データを保存、処理、または送信するすべての組織にとって、支払いのセキュリティを維持することが必要です。

PCI セキュリティ標準には、以下の技術的および運用上の要件が含まれています。

  • 支払い取引を受け付けたり処理したりする組織
  • それらの取引に使用されるアプリケーションおよびデバイスのソフトウェア開発者およびメーカー

2018 年 5 月にリリースされた PCI 3.2.1 は、対象となる組織が遵守しなければならない現在のバージョンです。

コンプライアンスの検証は、組織のマーチャントレベルの指定に適した方法で、毎年または四半期ごとに行われます。マーチャントレベルの指定は、処理されるクレジットカード取引の年間量に応じます。

PCIマーチャントレベルと監査および報告要件の概要

以下の表は、PCIマーチャントレベルの概要、各レベルで一般的に使用される一般的な支払いアーキテクチャ、および対応するPCI監査および報告要件を示しています。注:クレジットカード会社によってマーチャントレベルのベンチマークには微妙な違いがあるため、読者は各自の組織に適用される要件を正確に評価するために、PCI アドバイザリーや QSA パートナーに相談することをお勧めします。

Merchant Level Volume of Credit Card Transactions Per Year Common Payment Architecture PCI Audit and Reporting Requirements
LEVEL 1 More than 6 million total transactions across all global regions
  • Ecommerce
  • Card not present
  • Card-present
  • Annual Report on Compliance (ROC) through a Qualified Security Assessor (QSA)
  • Quarterly network scans by an Approved Scanning Vendor (ASV)
  • Attestation of Compliance Form
LEVEL 2

1 million to 6 million across all global regions
  • Ecommerce
  • Card not present
  • Card-present
  • Annual Self-Assessment Questionnaire (SAQ) (internal audit)
  • Quarterly network scan by an ASV
  • Attestation of Compliance Form
LEVEL 3 20,000 to 1 million across global regions
  • Ecommerce only
  • Annual SAQ
  • Quarterly network scan by an ASV
  • Attestation of Compliance Form
LEVEL 4

Less than 20,000

OR

1 million through all channels BUT

Less than 20,000 card transactions
  • Ecommerce only

 

  • Card present
  • Ecommerce
  • Annual SAQ
  • Quarterly network scan by an ASV
  • Attestation of Compliance Form

12 PCI DSS の要件

PCI DSS 3.2.1には、6つの目標、12の要件、78の基本要件、および400を超えるテスト手順が含まれています。以下の表は、PCI DSS の目標と関連要件をまとめたものです。サブ要件とテストの詳細については、以下を参照してください。 PCI DSS リファレンスガイド

PCI DSS OBJECTIVES Requirements
BUILD AND MAINTAIN A SECURE NETWORK AND SYSTEMS

1.  Install and maintain a firewall configuration to protect cardholder data

2.  Do not use vendor-supplied defaults for system passwords and other security parameters
PROTECT CARDHOLDER DATA

3.  Protect stored cardholder data

4.  Encryption transmission of cardholder data across open, public networks
MAINTAIN A VULNERABILITY MANAGEMENT PROGRAM

5.  Protect all systems against malware and regularly update anti-virus software or programs

6.  Develop and maintain secure systems and applications
IMPLEMENT STRONG ACCESS CONTROL MEASURES

7.  Restrict access to cardholder data by business need to know

8.  Identify and authenticate access to system components

9.  Restrict physical access to cardholder data
REGULARLY MONITOR AND TEST NETWORKS

10.  Track and monitor all access to network resources and cardholder data

11.  Regularly test security systems and processes
MAINTAIN AN INFORMATION SECURITY POLICY 12.  Maintain a policy that addresses information security for all personnel

PCI コンプライアンス違反による潜在的なリスク

PCI DSSは12年以上前から存在していますが、多くの組織が監査中に重大な不利な結果に直面し続けています。また、最近PCI監査に合格した後でも、データ侵害が発生したと報告している組織はごくわずかです。ここで重要なのは、コンプライアンスは必ずしもデータやアプリケーションが安全であることを意味するわけではないということです。コンプライアンスはベースラインと見なすべきであり、組織は必ずしもコンプライアンスの対象とならない脅威ベクトルの特定と軽減にも注力すべきです。 コンプライアンス義務

これらは最も一般的です PCI コンプライアンス 課題:

  1. PCI監査の範囲を管理し、コストを管理する必要がある。PCI セキュリティ理事会は、 スコーピングとネットワークセグメンテーションのガイド。この文書は、対象となる組織がCDE(カード会員データ環境)コンポーネント、PCI接続システムおよびPCIセキュリティに影響するシステム、および対象外のコンポーネントを特定するのに役立つフレームワークを提供します。残念ながら、データセンター環境と決済アーキテクチャの性質がますますダイナミックで複雑になっているため、スコーピングとセグメンテーションのフレームワークを実行することは多くの組織にとって困難です。静的なポイントインタイムのデータおよびネットワークフローマップに頼って PCI コンポーネントインベントリの作成と維持を行うと、一貫性のない IT 変更やファイアウォールの変更管理手法が相まって、スコーピングやセグメンテーションの誤りが発生し、その結果 PCI 評価が失敗し、監査コストが高くなってしまいます。
  2. PCI セキュリティコンプライアンスとセグメンテーション体制を継続的に維持できない。PCI セキュリティ標準では、組織は PCI セグメンテーション体制を継続的に維持し、PCI 要件と基本要件に継続的に準拠することを義務付けています。ダイナミックで複雑なデータセンターと決済アーキテクチャと、セキュリティプロセスと IT 運用における不整合が組み合わさると、セキュリティと統制のギャップが生じます。IT 慣行の結果、PCI コンポーネントは、同じゾーン、VLAN、またはサブネット内で PCI 以外のコンポーネントと混ざり合い、CDE へのトラフィックを制限するための追加の制御が行われないことがよくあります。場合によっては、IT 変更管理、リソースプロビジョニング、ファイアウォールの変更管理プロセスが切り離されているために、対象範囲内の PCI 接続システムのインベントリが不正確になったり、ファイアウォールルールが誤って構成されたりすることがあります。また、脆弱性管理やパッチ管理のプロセスが不十分だと、組織が PCI セキュリティ体制を継続的に維持できなくなってしまいます。 ベライゾン・ペイメント・セキュリティ・レポート 決済セキュリティの傾向と、組織が引き続き経験している重大なセキュリティ課題について詳細にレビューします。ベライゾンはこのレポートを2010年から毎年発行しています。2020 年のレポートでは、次の PCI 要件の統制ギャップが最も大きいと著者らは結論付けています。
  3. リクエスト 11.セキュリティシステムとプロセスをテストする。
  4. リクエスト 5.悪質なソフトウェアからの保護
  5. リクエスト 10.アクセスを追跡および監視する
  6. 必要条件 12.セキュリティ管理
  7. リクエスト 8.アクセスを認証する。
  8. リクエスト 1.ファイアウォールのインストールと構成の管理
  9. フラットネットワークを持つこと。驚くべきことに、今日でも多くの組織がフラットネットワークを採用し続けています。なぜなら、フラットネットワークは設計が簡単で、運用と保守が容易だからです。しかし、フラットネットワークとは、環境内のすべて (PCI に接続されていないコンポーネントや CDE 以外のコンポーネントを含む) が PCI の対象になることを意味し、PCI 監査コストが高くなります。フラットネットワークとは、攻撃者が単一のホストを危険にさらすことに成功しても、簡単にネットワークを経由して支払いアプリケーションやカード会員データベースにアクセスできるということです。
  10. リモートワーク運用モデルへの移行を確保する必要がある。組織がオールリモートワークの運用モデルに移行するにあたり、これらの変化が PCI 環境の範囲にどのように影響するか、また CDE への正当なトラフィックを制御するためにどのような追加管理を実施する必要があるかを評価する必要があります。例としては、従業員用ラップトップから支払いアプリケーションへの権限のある管理者の正当なリモートアクセスの保護、リモートカスタマーサポートと請求の保護、およびインターネットに接続された非接触型キオスクとデータセンターアプリケーション間のオンサイトでの非接触型認証接続の保護などがあります。

PCI データセキュリティ標準の一般的な実装上の課題とは?

ワークロード、ユーザー、デバイス、およびその接続とフローをリアルタイムで可視化することは、次の場合に重要です。

  • PCI 環境の適用範囲が最新かつ正確であることを確認することは、セグメンテーションとファイアウォールのルールが正しく適用されることを意味します。
  • 四半期ごとに義務付けられている内部脆弱性スキャンに貴重な情報を提供し、その情報を使用して脆弱性に関連する潜在的なラテラルアタック経路をマッピングします。
  • PCI環境を継続的に監視して、潜在的な攻撃の兆候となる可能性のあるワークロード、デバイス、ユーザー、接続、接続試行の失敗などの変化がないかを確認します。
  • 必ずしもPCIコンプライアンス要件でカバーされていない攻撃対象領域と脅威ベクトルの変化を特定します。

効果的なPCI DSSコンプライアンスにおけるリアルタイムの可視性の重要性

  • リアルタイムの可視性は、CDE、PCI接続、およびPCIセキュリティに影響するシステムのすべての接続を継続的に監視することにより、PCIスコープの正確性を確保するのに役立ちます。これらはすべてPCIの対象範囲に含まれます。その後、組織はホストベースのマイクロセグメンテーションを適用して該当するファイアウォールルールを適用し、PCI 環境へのインバウンドおよびアウトバウンドトラフィックを「許可」または「合法」のトラフィックのみに制限できます。(要件 1)
  • PCI環境の効果的かつ正確なセグメンテーションを継続的に維持することは、PCI監査コストの管理に役立ちます。
  • 誤って構成されたり、古くなったりしたファイアウォールルールを排除することで、対象となる組織が潜在的なデータ侵害にさらされるリスクを軽減できます。
  • IT自動化ツール(Chef、Puppet、Ansible、Terraformなど)との統合を活用して、ワークロードリソースのプロビジョニングと本番環境へのリリースと同時に、セグメンテーションポリシーが確実にプロビジョニングされるようにします。
  • リアルタイムの可視化は、組織がリモートワークに移行する際のPCIスコープの変更を評価するのに役立ちます。これにより、組織は重大な統制上のギャップや潜在的な攻撃経路を特定できます。その後、組織はホストベースのマイクロセグメンテーションを適用して、自宅のデバイスからリモートユーザーのラップトップへのピアツーピア接続を制限したり、ユーザーとデータセンターのアプリケーション接続を制御したりできます。
  • ネットワーク環境を再構築することなく、複数のVLAN、ゾーン、サブネットに分散している承認済みPCIワークロード、ユーザー、デバイス間の接続を制御し、IT運用の変化に対応できます。
  • クラウドネイティブ環境やグリーンフィールド環境では、組織はコンテナオーケストレーションプラットフォームとの統合を活用して、ワークロードの発生時に「セグメンテーションポリシー」をプロビジョニングできます。
  • 組織は PCI コンプライアンス要件を直接満たすだけでなく、マイクロセグメンテーションを適用して攻撃対象領域を減らし、ラテラルムーブメントを阻止し、攻撃対象領域の急速な拡大を抑えることもできます。 ランサムウェア

ホストベースのマイクロセグメンテーションによる PCI コンプライアンスとサイバーセキュリティの課題への対処

  • リアルタイムの可視性は、CDE、PCI接続、およびPCIセキュリティに影響するシステムのすべての接続を継続的に監視することにより、PCIスコープの正確性を確保するのに役立ちます。これらはすべてPCIの対象範囲に含まれます。そうすれば、組織はホストベースを適用できます。 マイクロセグメンテーション 該当するファイアウォールルールを適用して、PCI環境へのインバウンドおよびアウトバウンドトラフィックを「許可」または「合法」トラフィックのみに制限します。(要件 1)
  • PCI環境の効果的かつ正確なセグメンテーションを継続的に維持することは、PCI監査コストの管理に役立ちます。
  • 誤って構成されたり、古くなったりしたファイアウォールルールを排除することで、対象となる組織が潜在的なデータ侵害にさらされるリスクを軽減できます。
  • IT自動化ツール(Chef、Puppet、Ansible、Terraformなど)との統合を活用して、ワークロードリソースのプロビジョニングと本番環境へのリリースと同時に、セグメンテーションポリシーが確実にプロビジョニングされるようにします。
  • リアルタイムの可視化は、組織がリモートワークに移行する際のPCIスコープの変更を評価するのに役立ちます。これにより、組織は重大な統制上のギャップや潜在的な攻撃経路を特定できます。その後、組織はホストベースのマイクロセグメンテーションを適用して、自宅のデバイスからリモートユーザーのラップトップへのピアツーピア接続を制限したり、ユーザーとデータセンターのアプリケーション接続を制御したりできます。
  • ネットワーク環境を再構築することなく、複数のVLAN、ゾーン、サブネットに分散している承認済みPCIワークロード、ユーザー、デバイス間の接続を制御し、IT運用の変化に対応できます。
  • クラウドネイティブ環境やグリーンフィールド環境では、組織はコンテナオーケストレーションプラットフォームとの統合を活用して、ワークロードの発生時に「セグメンテーションポリシー」をプロビジョニングできます。
  • 組織は PCI コンプライアンス要件を直接満たすだけでなく、マイクロセグメンテーションを適用して攻撃対象領域を減らし、ラテラルムーブメントを阻止し、攻撃対象領域の急速な拡大を抑えることもできます。 ランサムウェア

さらに詳しく

今すぐ始めて、PCIに準拠し、顧客と会社を保護するための手順を実行してください。

マイクロセグメンテーションがPCI DSSの範囲を縮小し、コンプライアンスを達成するのにどのように役立つかについて詳しくは、ホワイトペーパー「PCIコンプライアンスを効果的にセグメント化する3つのステップ」をご覧ください。

用語集に戻る

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく